校园网络安全与策略论文：浅析校园网络安全与策略.doc

校园网络安全与策略论文：浅析校园网络安全与策略摘要 随着校园网建设的快速发展，学校对网络的依赖性越来越强，因此，校园网的安全问题日益突出，不容忽视。如何让校园网安全高效地运行，充分发挥其教学、管理和服务等功能，已成为一个不容忽视的问题。本文从校园网的特点出发，分析了校园网存在的安全隐患，并从技术、设备、管理等方面提出了改进和解决的策略。关键字 校园网 安全隐患 安全技术 安全策略校园网作为高校的重要基础设施，担负着一所学校教育教学、科研管理和对外交流的重任，它的安全状况直接影响到教育教学活动的正常进行。但是，随着校园网建设的快速发展，学校对网络的依赖性越来越强，因此，校园网的安全问题日益突出，不容忽视。这样就给校园网的管理与维护带来了更大的挑战。目前，随着网络规模的不断扩大，校园网安全问题越来越被广泛关注。尤其是高校校园网的安全是一个庞大的系统工程，需要全方位的主动的防范才能使网络避免各种攻击，才能构建一个健康的，安全的，开放式的校园网。一、校园网的特点1、校园网的速度快、规模大。高校校园网是最早的宽带网络，也是普遍使用百兆、千兆的网络。校园网的用户群体一般比较大，少则几百人，多则数千人。高校一般集中学生公寓，因而用户比较密集，正是由于高带宽和用户量大的特点，网络安全方面一旦有问题，蔓延速度很快，对网络的影响也比较严重。2、校园网中的计算机系统的购置和管理情况非常复杂。学生和老师的电脑大多是自己购买，自己维护，也有学校统一采购，有技术人员负责维护的。这种情况下要求所有的用户实施统一的安全政策，比如安装防病毒软件等，是非常困难的。由于没有统一的资源管理和设备管理，出现安全问题后的计算机就会影响到校园网的整体运行。3、用户群体活跃。高校的学生通常是最活跃的网络用户，对网络新技术充满好奇，勇于尝试。在没有意识到后果的严重性时，有些学生会尝试使用网上学到的，甚至自己研究的各种攻击技术，有些学生还学着黑客去攻击校园网的dns服务器。4、开放的网络环境。根据教学和管理的特点，所以决定了校园网络环境应该是开放的，管理也是较为宽松的。所以，类似在企业网可以限制允许web浏览和电子邮件的流量的做法，在校园网环境下是行不通的，至少在校园网的主干网不能实施过多的限制，否则一些新的应用，新的技术很难在校园网内部实施。5、投入少。一般情况下，校园网的建设和管理过程中，通常容易轻视校园网的网络安全，特别是在网络管理和网络维护方面的投入明显不足。二、校园网面临的安全隐患校园网面临安全威胁主要包括黑客攻击，病毒的破坏，垃圾信息的泛滥等方面。同时网络自身的缺陷，人为因素也可能对校园网构成安全威胁。1、校园网的内部安全隐患首先是人为因素所造成的安全隐患。通过多方面的了解，可以发现，许多学校往往因为过于注重校园网硬件方面的建设而忽视了软件方面的投资。致使学校的软件来源复杂，有的还含有各种病毒或黑客程序，这就造成了大量网络安全问题的出现；同时，学校的网络管理员的技术水平也参差不齐，有的学校甚至根本没有专职的网络管理员，无法保证网络安全。其次是来自校园网内部的攻击。网络攻击不仅仅来自于外网。根据调查所得知，来自校园网内部的各种攻击竟高达70%，在校园网中常见的有arp欺骗、蠕虫病毒等，通常这类情况大多是学生为了自己的好奇心而引发对校园网的内部攻击。对于这种内部攻击，应该加强对用户的分级管理，限制学生用户的验证和账户管理，降低其使用权限。2、校园网的外部安全隐患来自互联网的攻击，现在很多学校的校园网都已经通过各种宽带方式（如ddn、adsl等）接入到internet当中，这大大改善了学校的教学环境，为学校提供了丰富的教育资源，但同时也给学校带来了一系列的安全问题。例如，我们发现每天都有大量别有用心的人在对学校的ip地址进行扫描，然后通过各种黑客软件来查找学校服务器的漏洞，然后试图攻击校园网络。三、安全管理策略针对校园网受到的安全威胁，我们必须建立一套独立的、全面的、卓有成效的安全管理体系，提供最广泛且具有深度的网络安全管理服务以保护校园网内的各种资源免遭受非法破坏，以便发挥出校园网的最大功效。1、物理安全策略保证计算机网络系统各种设备的物理安全是整个网络安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。其目的是保护计算机系统、服务器、打印机等硬件实体和通信链路层网络设备免受自然灾害、人为破坏和搭线攻击等。2、访问控制策略访问控制的主要任务是保证网络资源不被非法使用和访问, 它是保证网络安全最重要的核心策略之一。访问控制策略包括：入网访问控制、网络权限控制、网络服务器安全控制、网络端口和节点的安全控制。入网访问控制为网络访问提供了第一层访问控制，它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。网络权限控制是针对网络非法操作所提出的一种安全保护措施，用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源，可以指定用户对哪些文件、目录、设备能够执行哪些操作。网络服务器的安全控制包括设置口令、锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据，可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。端口是虚拟的“门户”， 信息通过它进入和驻留于计算机中，网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护，并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户，静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制，用户必须携带证实身份的验证器（如智能卡、磁卡、安全密码发生器）。在对用户的身份进行验证之后，才允许用户进入用户端，然后，用户端和服务器端再进行相互验证。3、防火墙控制策略防火墙技术是保证网络安全最早也是最广泛使用的产品，曾经被认为是网络安全最有效的技术措施。随着网络攻击和病毒技术的发展,防火墙已经不是网络安全的万能产品，但是作为防止网络攻击，特别是来自外网的攻击，防火墙功能仍然是目前其他产品无法替代的。防火墙的设置可以根据具体的功能而定，作为网络总出入口，可以设置高性能的硬件防火墙，而在内部的各个必要节点上则可以灵活设置其他的防火墙产品。4、网络入侵检测技术人侵检测被认为是防火墙之后的第二道安全闸门，它采用的是一种主动的技术，能有效地发现入侵行为和合法用户滥用特权的行为，已经成为网络安全体系中一个重要组成分目前入侵检测技术还处于研究和发展阶段，同样存在很多不足之处。随着网络通信技术安全性的要求越来越高，人们需要重点研究一些智能化的检测技术，同时还要研究如何将入侵检测技术和其他网络安全技术相结合来构建一个网络安全体系等等，这些都是以后入侵检测发展的主要方面。5、数据加密由于在现实生活中，我们要确保一些敏感的数据只能被有相应权限的人看到，要确保信息在传输的过程中不会被篡改、截取等，仅仅通过身份验证技术是不能做到的，这时就需要考虑应用数据加密技术对校园网上的信息进行加密处理。常用的数据加密技术有两类：对称加密和非对称加密。对称加密就是对信息的加密和解密都使用相同的密钥，也就是说一把钥匙开一把锁。而非对称加密就是把密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开，而另一把作为私有密钥(解密密钥)加以保存。6、建立一支高素质人才队伍校园网是学校教学、科研和管理不可缺少的重要基础设施，因此，校园网安全技术管理不仅任务重，其技术要求也越来越高，网络安全技术人才队伍建设也将是校园网络建设的重要内容。综上所述，网络安全不仅仅是防火墙、也不是防病毒、入侵检测、防火墙、身份认证、加密等产品的简单堆砌，而是包括从系统到应用、从设备到服务的比较完整的、体系性的安全系列软硬件产品的有机结合。作为从事计算机专业的人员来说，应该意识到是没有绝对安全的网络系统，因此，要保证一个复杂网络系统绝对安全是不可能的。我们能做的是认清网络的脆弱性和潜在威胁，制定出合理的安全管理目标，选择合适的产品，从技术手段、管理手段上采取多种防护措施，协